Notícias Notícias

29.04.2015 | admin

Cinco considerações-chaves para se avaliar uma tecnologia de forense móvel

A TechBiz Forense Digital compila aqui o documento em inglês da Cellebrite com dicas sobre o que levar em conta na escolha por uma solução para investigação de celulares, tablets e derivados. A versão original pode ser acessada clicando aqui

Escolher uma ferramenta para investigação forense de dispositivos móveis exige uma pesquisa criteriosa das opções disponíveis no mercado. No documento “5 Key Considerations in Evaluating Mobile Forensic Technology”, a Cellebrite, parceira da TechBiz Forense Digital, elaborou alguns critérios importantes para se definir qual solução melhor atenderá às suas necessidades.

“É fácil optar pela primeira ferramenta que pareça servir às suas necessidades de investigação, especialmente se ela tiver um bom preço. No entanto, soluções financeiramente acessíveis podem carregar custos ocultos. Elas podem não obter evidências deletadas ou escondidas – que são cruciais para se prender um suspeito de homicídio; podem não ajudá-lo a visualizar conexões comuns, importantes para se construir um caso forte de fraude; ou podem ser complicadas para o uso dos profissionais que atuam na linha de frente e necessitam de algo mais simples para se usar em campo”, diz o documento.

Em resumo, para se construir investigações e se fechar casos é preciso avaliar uma solução para além do preço. Abaixo, fizemos um resumo do documento da Cellebrite sobre as cinco considerações chaves para se avaliar uma tecnologia de forense móvel. Boa leitura!

1. Suporte forense para medidas antiforenses

Senhas de usuários, criptografia, dados deletados e danos ao aparelho podem ser um empecilho para o acesso do investigador aos dados que possam construir um caso.

Códigos PIN, senhas complexas com oito ou mais caracteres, bloqueios-padrão, criptografia são formas de garantir a segurança dos dispositivos móveis e dos aplicativos que tornam-se um empecilho para o investigador que busca evidências de um caso. Nem sempre você pode obter essas senhas e/ou chaves de criptografia perguntando ao usuário – um suspeito pode não colaborar, a vítima pode estar desaparecida –, e aí é preciso encontrar outra forma de romper esses mecanismos de proteção.

Uma ferramenta de forense móvel deve ser capaz de “bypassar”, extrair ou “resetar” os bloqueios de diferentes tipos de smartphones; obter senhas de aplicativos e descriptografar ao menos alguns dados. Dados deletados e escondidos também podem ser importantes fontes de evidência e, por isso, a solução deve ser capaz de extrai-los. Também é importante extrair metadados, por exemplo, coordenadas de GPS e informações de imagem EXIF. Os dados brutos devem ser apresentados em um formato que possa ser lido, caso contrário, a evidência será inútil.

Dano físico
A obstrução das informações não para por aí. Botões de acesso à tela principal, portas de dados e circuitos podem estar tão danificados, que os dados dos dispositivos não podem ser extraídos por ferramentas forenses convencionais.
Alguns suspeitos tentam danificar ou destruir o celular da vítima para dificultar a extração dos dados. Esmagar, queimar, molhar o equipamento são práticas comuns. Outros suspeitos optam por dispositivos pré-pagos, em que os dados deletados e escondidos não são facilmente extraídos ou analisados porque os carregadores wireless não podem abrir suas portas.

Dispositivos em que as senhas ou a criptografia não podem ser transpostas (bypassadas, no jargão forense) ou que estão danificadas de forma a não ser possível utilizar os métodos convencionais de forense, podem ter os dados extraídos via métodos chip-off ou JTAG. Como dados deletados, as extrações chip-off ou JTAG devem ser decodificadas para serem úteis. A ferramenta de forense móvel deve ser capaz de decodificar extrações diferentes da sua própria.

Finalmente, é importante avaliar se a solução suporta os dispositivos mais populares de sua jurisdição. Por exemplo, a habilidade de transpor um bloqueio de usuário e obter evidências deletadas de aparelhos da série Samsung Galaxy S e de muitos modelos BlackBerry® tem sido crucial para a investigação de um grande número de fraudes, homicídios, casos de narcóticos e outros.

Procure uma ferramenta que possa recuperar dados de uma vasta gama de dispositivos. Uma boa maneira de dizer se um fabricante oferece amplo e profundo suporte aos modelos é checar a sua programação de atualizações. Procure por fabricantes que oferecem regularmente grandes e pequenas atualizações. As pequenas devem consertar bugs e adicionar suporte a novos aparelhos ou ampliar o poder aquisitivo dos dispositivos já suportados. As atualizações maiores devem refletir as tendências atuais da investigação forense móvel, tanto em seu laboratório quanto no noticiário. Atualizações devem ser mais frequentes do que trimestrais e devem incluir suporte à extração e decodificação para dispositivos novos e existentes.

Compromisso do fabricante

O fabricante deve oferecer informações sobre os dispositivos que sua ferramenta suporta, e em que medida a ferramenta os suporta. Extração, decodificação, sobreposição de senhas, identificação e descriptografia devem todas estar listadas. Ou os representantes dos fabricantes devem estar aptos a lhe dizer quais dispositivos e dados são suportados.

Essa variedade de suporte é a chave para ajudá-lo a justificar sua compra. Não apenas a funcionalidade aperfeiçoada pode melhorar a sua eficiência, e consequentemente suas taxas de depuração, em longo e curto prazos; também pode fazer toda a diferença em casos únicos. O investigador que obtém mais evidências pode construir casos fortes com melhores resultados.

2. Coleta de dados móveis e suporte à análise em todos os níveis hierárquicos

Tornar os dados acessíveis a qualquer um que esteja autorizado a obtê-los.

Mais dispositivos, mais dados e maiores desafios forenses têm gerado backlogs em muitos laboratórios. Consequentemente, os investigadores devem esperar semanas ou meses para se obter a evidência. Velocidade é fundamental neste processo. Muitas vezes, o investigador que está em campo necessita apenas dos dados mais básicos para decifrar a causa provável de um crime ou mesmo criar um caso de contravenção. O acesso imediato à informação pode permitir o rápido resgate de uma vítima de perigo, por exemplo. É fundamental que especialistas não forenses encontrem uma maneira de se obter dados críticos quando necessitam.

Tão importante quanto a velocidade, a precisão e a habilidade de filtrar e ordenar os dados são fundamentais para o trabalho da equipe de campo. O investigador pode estar interessado apenas em mensagens de textos enviadas em um certo período de tempo, ou apenas em ligações e e-mails de uma pessoas específica ou grupo de pessoas. Ele precisa estar apto a buscar os dados onde eles residem, inclusive em programas de mensagens instantâneas, chats e aplicativos de mídias sociais, que têm substituído as mensagens de textos das operadoras.

Para filtrar e ordenar os dados, a ferramenta de forense móvel deve oferecer uma variedade de formatos visuais de exposição desses dados: gráficos, linhas do tempo, mapas, tudo o que ajudar a visualizar as mais importantes conexões e linhas do tempo.
Quando for preciso escalar a investigação e encaminhar o dispositivo a um outro examinador, esse processo precisa ser o mais simples possível. Examinadores especializados em forense devem ser capazes de usar o relatório original produzido pelo operador que estava em campo para avaliar os resultados dessa primeira coleta e seguir adiante, aprofundando a análise sobre o caso. Finalmente, não importa onde você trabalha, sua ferramenta forense deve se encaixar em seu estilo e ambiente profissional.

Pronto para o campo

A coleta de dados em campo requer um dispositivo portátil, standalone, ou um software de análise instalado em um laptop emborrachado que o ajude no processamento dos dados assim que você os obtém. Já em um laboratório ou no escritório, uma única estação de trabalho pode ajudar a processar requisições de extração, enquanto um software de extração e análise em um laptop ou PC pode poupar espaço e tempo. Se o planejamento é distribuir a extração forense móvel e/ou a capacidade de análise, você deve trabalhar com supervisores e equipe em outras unidades e departamentos para determinar qual mix de ferramentas vai de encontro às suas necessidades.

3. Suporte à análise de dados para casos que envolvam múltiplas fontes

O conteúdo de uma investigação geralmente está presente em mais de um dispositivo móvel. Cada um deles pode conter evidências diferentes que, juntas, oferecem um panorama completo do caso.

É raro que um único caso envolva menos do que dois ou três dispositivos. Geralmente, assuntos de uma investigação possuem mais de um dispositivo cada: um ou mais smartphones, tablets e/ou GPS podem entrar em cena, já que os usuários usam dispositivos diferentes para propósitos diferentes em sua vida privada e no trabalho. Cada dispositivo pode conter evidências específicas.

Uma mesma linha de tempo, mapa, gráficos e outras referências visuais que possam ajuda-lo a estreitar a busca por informações mais importantes em um único dispositivo também funciona para múltiplos dispositivos. Se você está juntando dados de múltiplos suspeitos ou vítimas, uma ferramenta de análise de links de dados móveis pode ajudá-lo a construir uma história baseada em locais mútuos, comunicações e contatos.

Assim como ferramentas visuais de análise como linhas do tempo e mapas podem ajuda-lo a dar sentido aos dados, elas também podem explicar como você está construindo o seu caso, incluindo a linha de investigação que está sendo seguida, outras peças de evidência ou outras pessoas que procura.

Proativamente, isso pode ajudá-lo a determinar novos leads e linhas de investigação. Você pode corroborar ou refutar álibis e depoimentos, entender padrões do suspeito ou da vítima, e pontuar desvios dos padrões normais que possam ser significativos.
Reativamente, essas ferramentas visuais podem ajudá-lo a utilizar os dados dos dispositivos móveis para contextualizar outras evidências, incluindo depoimentos de testemunhas, evidências físicas, imagens de circuito interno, assim por diante. Contextualizar um caso, com visualizações que ilustrem como as peças se encaixam em sua história, pode ser crucial para ajudar advogados, juízes e jurados a entenderem o contexto.

Além de ser capaz de juntar os dados de múltiplas fontes, você deve ser capaz de rapidamente e facilmente trazer as extrações para outras ferramentas utilizadas na investigação: dispositivos móveis adicionais, computadores e outras mídias físicas ou digitais.

4. Treinamentos que o preparam para qualquer eventualidade

Treinamentos devem capacitar o investigador para responsabilidades diversas, desde obter o máximo da ferramenta a prepará-lo para testemunhar em tribunais.

Um bom treinamento pode acabar com o desconhecimento sobre ferramentas de forense móvel. Desde mostrar a você como se obter o máximo de sua ferramenta, a prepará-lo para testemunhar em um tribunal, o treinamento deve levar em conta a vasta gama de responsabilidades de um analista de dados móveis e/ou um especialista forense.

Idealmente, são oferecidos treinamentos básicos, intermediários e avançados para cada nível de experiência investigativa. Isso pode ser “embrulhado” em níveis ou construído em uma semana inteira de um válido treinamento que oferece a certificação.
No nível básico, o treinamento deve lhe dar as bases da tecnologia do dispositivo móvel e do processo forense de apreensão por meio da extração de validação. Instruções intermediárias devem focar nos detalhes do processo de extração e análise, especialmente acerca das ferramentas analíticas que podem ajudá-lo usar imediatamente os dados. Finalmente, instruções avançadas devem incluir processos como carving de dados, pesquisas avançadas e técnicas de filtragem e desafios específicos dos dispositivos. Em outras palavras, o treinamento deve mostrar toda a versatilidade da ferramenta.

Um bom treinamento também prepara os operadores para explicar o que eles fizeram e como funciona a ferramenta. “Eu apertei esse botão para obter os dados” não é suficiente para um testemunho crível. Você deve ser capaz de demonstrar a sua competência profunda sobre o produto com uma base sólida sobre o processo de forense móvel. Ser capaz de descrever como a ferramenta forense interage com o dispositivo móvel para coletar e preservar os seus dados é importante para extrações lógicas e análises físicas.

Por sua vez, a certificação no uso de uma ferramenta pode ser importante para o seu status potencial como uma testemunha especializada. Também é um diferencial profissional. Um certificação ideal possui componentes escritos e práticos e é oferecida regularmente para ajudá-lo a manter as suas habilidades atualizadas.

Cursos de treinamento devem ser oferecidos em locais de fácil acesso, não tão longe do seu trabalho ou casa ou em conferências que você possa se planejar para atender. Se a verba é motivo de preocupação, procure por cursos online, que podem ser conduzidos tanto pelo próprio aluno ou por um instrutor.

5. Suporte a profissionais que não sejam técnicos

Muitas ferramentas forenses negligenciam as necessidades dos profissionais envolvidos em uma investigação que não são da área técnica, como supervisores, advogados, juízes e/ou jurados que precisam compreender os dados coletados.

Sua capacidade de analisar dados deve ser tão boa quanto sua habilidade de explicá-los de forma que seus colegas não técnicos, supervisores, advogados, juízes e/ou jurados possam compreender. Muitas ferramentas de forense móvel negligenciam essa necessidade, o que pode emperrar o andamento dos casos.

Assim como funcionalidades de análise visual tais como linhas do tempo e mapas ajudam a dar sentido aos dados, elas também demonstram como você está construindo um caso, incluindo a linha de investigação seguida, outras peças de evidências ou outras pessoas que você esteja procurando.

Relatórios devem apresentar os seus achados em uma variedade de formatos, sejam eles quais forem os preferidos dos seus colegas e das outras partes interessadas. A ferramenta de análise forense móvel também deve oferecer uma maneira para que os outros pesquisem e filtrem os dados por si mesmos.

Isso é especialmente valioso quando se está trabalhando com outros investigadores. Eles devem aprender novas palavras-chaves, intervalos de datas e horas, ou outro tipo de informação. Ser capaz de realizar seu próprio trabalho analítico evita que você tenha que reavaliar os resultados originais.

Conclusão

A compra da solução ideal de forense móvel exige cuidados de análise para além do preço. Se você está procurando ser mais competitivo e quer oferecer serviços amplos e de custo efetivo aos seus clientes do setor privado, ou se precisa provar que seu órgão público pode entregar resultados mais rápidos, mais precisos de investigação de dispositivos móveis , procure por fabricantes que entendam seus problemas e parceiros que o ajudem a solucioná-los.

Você sabia?
Resultados de testes objetivos que mostram o desempenho de uma ferramenta forense estão disponíveis no projeto do Instituto Nacional de Teste de Padrões e Tecnologias de Forense Computacional (National Institute of Standards and Technology’s Computer Forensic Tool Testing). Você também deve encontrar pesquisas independentes de universidades e grandes laboratórios.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653